cryptoware

I Criptoware, noti anche come crypto virus, sono una categoria di ransomware che cripta i file presenti su un dispositivo impedendone l’accesso ai legittimi proprietari.

Lo scopo è quello di estorcere denaro alla vittima corrompendola con la promessa che, previo pagamento, riotterrà i suoi documenti.

Ma qual è il meccanismo alla base di una tanto subdola strategia?

In questo articolo ne approfondiremo origini, cause e potenziali rimedi.

Indice degli argomenti

Ransomware: cosa sono

I ransomware sono una particolare tipologia di malware, ossia virus informatici, utilizzati dagli hacker al preciso scopo di:

  • violare i device
  • impedire all’utente di accedere al sistema o ai file in esso contenuti
  • avanzare una richiesta di riscatto

Una categorizzazione generale vede i ransomware distinti in due principali categorie:

  • cryptoware (o crypto-ransomware) che crittografano i file presenti sul dispositivo, rendendoli di fatto inaccessibili e inutilizzabili se non si possiede una chiave di decrittazione

  • screen locker ransomware, che si limitano a rendere inaccessibile il device senza crittografarne i file all’interno

In entrambi i casi, l’utente sarà messo al corrente dell’infezione mediante la comparsa di una pagina di dialogo (chiamata ransomware Note) in cui viene esplicitato:

  • la tipologia di ransomware che ha infettato il device
  • la richiesta di riscatto
  • i termini entro i quali sarà possibile effettuare il pagamento (alla scadenza dei quali la chiave di decrittazione verrà eliminata e i file irrimediabilmente persi)
  • le modalità attraverso cui effettuare la transazione. Di norma, per i pagamenti vengono privilegiate criptovalute e Bitcoin proprio allo scopo di eludere ulteriormente qualsiasi tentativo di tracciamento.

Ai fini della nostra trattazione, ci concentreremo sull’esaminare le principali tipologie di cryptoware e sulle loro peculiari modalità d’azione.

Crittografia asimmetrica: la chiave del successo dei cryptoware

I ransomware di tipo crypto, come già evidenziato, sono così denominati proprio in virtù della cifratura che effettuano sui file per renderli inaccessibili.

L’operazione avviene tramite una coppia di chiavi crittografiche generate dinamicamente.
Queste si distinguono in:

  • chiave pubblica, utilizzata per cifrare i documenti

  • chiave privata, indispensabile per decifrare i file crittografati.

L’inespugnabilità di un algoritmo del genere (denominato di crittografia asimmetrica RSA) risiede proprio nel fatto che dalla chiave pubblica risulta (quasi) del tutto impossibile risalire alla corrispettiva chiave privata.

L’RSA, infatti, è basato sul meccanismo di fattorizzazione che consiste nella scomposizione di un numero nei suoi divisori primi.

Nella generazione delle chiavi, infatti,

  • vengono scelti due numeri primi p e q di circa 300 cifre e se ne calcola il prodotto n
  • ne viene calcolato il modulo (con fattorizzazione segreta)
  • ne viene calcolata la funzione di Eulero pari a z= (p-1)*(q-1)
  • si scelgono poi due esponenti, l’uno pubblico, coprimo di z, e l’altro privato, tale che il suo prodotto sia congruo al modulo di z

Le formule sopraelencate aiutano a comprendere quanto il processo computazionale volto alla decrittazione delle chiavi sia altamente complesso e inespugnabile.

Pertanto, non sarà sufficiente conoscere n per poter risalire ai due esponenti, ma si renderà necessaria, oltre alla conoscenza di z, anche la sua fattorizzazione

Ecco spiegato il meccanismo su cui fanno leva gli hacker al fine di estorcere denaro. Essendo gli unici in possesso del codice di decrittazione, lo utilizzano come merce di scambio: sebbene non sempre, anche a seguito di pagamento, questo venga effettivamente fornito.

Modalità di diffusione dei cryptoware

La portata mondiale del fenomeno, oltre a risiedere nei peculiari meccanismi con cui è stato implementato questo genere di ransomware, deve anche molto alla capillarità dei suoi metodi di diffusione.

Di seguito una breve carrellata sui principali mezzi sfruttati per la propagazione dei cryptoware:

  • e-mail di phishing: è il canale attraverso il quale si diffonde il 70% circa delle infezioni cryptoware. Consta di un allegato (sotto forma di file eseguibile, immagine o documento) che, una volta scaricato, darà avvio all’infezione;
  • Exploit Kit, ovvero script automatici che sfruttano le vulnerabilità del sistema operativo per installarne componenti fraudolente di terze parti;
  • adware o malware di pubblicità fraudolenta: si presenta durante la normale navigazione sul browser e con un click, anche involontario, è in grado di scatenare l’infezione;
  • connessione da remoto;

In buona sostanza, il cryptoware riesce a infiltrarsi nel registro di sistema sotto forma di file eseguibile.
Questo, una volta avviato, è in grado di disabilitare i normali processi del sistema operativo per generarne di nuovi volti alla sua compromissione.

Cryptoware: principali tipologie

Fin qui si è visto cosa contraddistingue un cryptoware dalle altre tipologie di ransomware, cosa sono e come vengono generate le chiavi crittografiche, nonché i principali metodi di diffusione.

A questo punto non resta che elencare alcuni tra i principali cryptoware oggi noti, i quali, sebbene si differenzino nettamente l’un l’altro, sottendono tutti allo stesso meccanismo di fondo.

Cryptowall Ransomware

Il Criptowall Ransomware, oltre alla canonica diffusione tramite e-mail,  viene distribuito come falso aggiornamento di

  • Adobe Reader
  • Flash Player
  • Java Runtime Environment.

Solitamente ciò avviene tramite l’apertura di finestre di pop-up se si sta navigando su siti web infetti o qualora dovesse essere presente sul device un applicativo poco sicuro.

Oltre a crittografare i file, Criptowall Ransomware, tramite il comando “Delete shadow/All/Quiet” elimina tutte le copie shadow dei file, rendendo irrecuperabili le versioni non crittografate dei documenti.

Successivamente copia i file

  • txt
  • html
  • url

contenenti le istruzioni per il riscatto e le inserisce in ogni cartella criptata.
Così facendo, al tentativo di ognuno di essi, verrà visualizzata la ransomware Note con le istruzioni per il pagamento del riscatto.

CryptoLocker

CryptoLocker è una delle versioni più note di cryptovirus. Utilizza un metodo di crittografia avanzato denominato AES-128 (Advanced Encryption Standard) che si presenta come un cifrario a blocchi.

In altre parole, anziché crittografare bit per bit, crittografa i dati che riceve a pacchetti di bit. Il suo ampio utilizzo è dovuto alla facilità d’implementazione e alla flessibilità nelle prestazioni (risultato del connubio tra velocità e sicurezza).

Si diffonde sia come canonico allegato mail sia sfruttando un trojan o worm che abbia precedentemente trasformato il device nello zombie di una botnet.

CTB-Locker

Conosciuto anche come ransomware Onion, CTB-Locker (Curve Tor Bitcoin Locker) sfrutta la struttura offerta dalla rete The Tor Project per garantirsi un ulteriore livello di anonimato.

La rete Tor, infatti, crittografa l’indirizzo IP ad ogni hop della rete.

Due degli aspetti più interessanti delle ultime versioni di CTB-Locker riguardano:

  • la possibilità offerta alle vittime di usufruire di una (subdola) “versione di prova” che permette di scegliere cinque file da decifrare senza essere costretti a pagare il riscatto
  • l’essere configurato in ben tre lingue: italiano, tedesco e olandese.

Tor-Locker

In questo caso il ransomware decifra la propria sezione dati con una chiave AES a 256 bit. Una volta attivato sul sistema operativo della macchina ospite, utilizzerà i primi 4 byte della chiave crittografica come ID che verrà aggiunto alla fine dei file criptati per renderli inaccessibili.

Il malware viene poi

  • copiato in una cartella temporanea
  • viene creata una chiave di registro che garantisca l’autorun di questa copia.

A seguito di questi passaggi preliminari, l’infezione cryptoware potrà esser messa in atto a tutti gli effetti:

  • Ricercando e interrompendo tutti i processi di sistema
  • Eliminandone i punti di ripristino
  • Criptando tutti i documenti Office, immagini, cartelle, ecc
  • Aprendo la finestra di dialogo per la richiesta di riscatto.

Come prevenire un’infezione da cryptoware

Al fine di prevenire una potenziale infezione da cryptoware le best practice da seguire sono:

  • effettuare backup periodici dei propri dati, così da non essere vincolati al pagamento del riscatto per tenare di recuperarli. Resta opportuno eseguirli su unità rimovibili, server NAS (Network Attached Storage) o di rete;

  • prestare attenzione alle e-mail, guardandosi bene dallo scaricare file con estensione .exe, .vbs, .scr o dal cliccare su link sospetti;

  • sottoporre il sistema operativo ad aggiornamenti costanti

  • utilizzo di una protezione antivirus efficiente

  • utilizzo di specifici software implementati per l’individuazione e la rimozione di questo tipo di malware

  • limitare i privilegi dell’amministratore di sistema, nonché l’accesso a device di terze parti

  • utilizzare un firewall o soluzioni UTM

Nelle realtà aziendali, inoltre, queste misure vengono ampliate dall’adozione di

  • sistemi di sicurezza degli endpoint (Endpoint Protection)
  • strumenti di tracciamento avanzati

nonché la puntuale estromissione di qualsiasi dispositivo shadow IT, ossia non facente ufficialmente parte della rete aziendale poiché non sottoposto agli stessi standard di sicurezza.

E’ sufficiente, infatti, un solo dispositivo infetto, per far sì che l’infezione si allarghi a tutti gli altri device della rete.

Cosa fare in caso d’infezione cryptoware

Poiché lo spegnimento temporaneo del device non equivale a un’interruzione definitiva del processo di crittazione (che riprenderà non appena il pc sarà riavviato), sarà necessario

  • scollegarlo dalla rete, in modo che non intacchi anche i file presenti sul cloud
  • riavviarlo in modalità provvisoria accedendo all’ambiente di ripristino Windows (winRE)
  • sfruttare la modalità punto di ripristino anteriore (nota su Windows come funzionalità Versioni precedenti). Così facendo, il sistema operativo può essere riportato allo stato antecedente l’infezione stessa: in tal modo, sarà possibile accedere e provare a ripristinare le copie shadow dei propri file così da recuperarne le versioni non crittografate.

A proposito del riscatto, invece va fatta una doverosa precisazione.

E’ necessario non cedere alle richieste di denaro.

Gli hacker giocano proprio sulla richiesta di somme relativamente irrisorie (nell’ordine di poche centinaia di euro) per invogliare gli utenti a cedere più facilmente. In realtà – come già accennato in precedenza – le ragioni per desistere sono diverse, tra queste:

  • non si ha la sicurezza che una volta effettuato il pagamento i documenti vengano effettivamente resi disponibili

  • attraverso quel denaro si finanziano le organizzazioni criminali  che perpetuano questi attacchi

  • finanziandole, infine, non si farà che dare una conferma ai cybercriminali sull’efficacia del malware, dando in contemporanea adito a nuove impulsi per implementarne gli aggiornamenti e migliorarne le prestazioni.

Decrypt Cryptolocker, un tool per decriptare i file infetti

Nonostante la complessità computazionale necessaria per decrittare i file, un gruppo di tecnici di FirEye e Fox It, specializzati in sistemi di sicurezza informatica,  ha tentato di implementare uno dei primi strumenti volti proprio a questo scopo.

Il software in questione è denominato Cryptolocker Decryption tool: l’obiettivo è quello di risalire alla chiave privata applicata sui file crittografati.

Questa premessa non deve però trarre in inganno: l’algoritmo, infatti, non è ancora stato scardinato.

Il tool è stato implementato raccogliendo un corposo database di chiavi private derivanti dallo smantellamento della botnet GameOver Zeus.
In sintesi, esso, una volta caricato il file crittografato sul portale online, permette di ricevere un’e-mail con la chiave di decrittazione.

Cryptolocker Decryption tool non è che un esempio dei tanti tool oggi a disposizione per decriptare file infetti.

Ciò che, però, bisogna tenere a mente è che le soluzioni fai da te non sono mai da preferire.

Soprattutto a livello aziendale, in caso di compromissione di dati sensibili, è più che mai necessario affidarsi alla supervisione di esperticybersecurity. Questi saranno in grado di garantire un livello di sicurezza e di efficienza nel processo di recupero dei dati che i tool gratuiti non possiedono.

Onorato Informatica

Onorato informatica è un’azienda specializzata in cyber security dal 2006.

Contattaci per scoprire i nostri servizi, e affida a noi la gestione della tua sicurezza in rete.

La nostra azienda, certificata ISO 9001ISO 27001 e azienda etica, ha sede centrale a Mantova e uffici cyber security a Parma, Milano e Los Angeles.